移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)與典型移動(dòng)互聯(lián)網(wǎng)惡意程序

劉超南，劉巖松

(營(yíng)口職業(yè)技術(shù)學(xué)院，遼寧營(yíng)口，115000)

0 引言

移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展使得傳統(tǒng)互聯(lián)網(wǎng)的邊界逐漸消失，各種數(shù)據(jù)不僅存儲(chǔ)在傳統(tǒng)PC機(jī)上，也遍布于網(wǎng)絡(luò)、手機(jī)、云以及其他智能設(shè)備上。由于黑色產(chǎn)業(yè)鏈的利益驅(qū)動(dòng)，數(shù)據(jù)泄露事件日益加劇。在整個(gè)2016年，國(guó)內(nèi)外信息泄露事件屢有發(fā)生，對(duì)社會(huì)的政治和經(jīng)濟(jì)都造成重大影響。在國(guó)外，美國(guó)大選中民主黨候選人希拉里的郵件泄露事件，直接影響了美國(guó)大選的進(jìn)程；雅虎的兩次賬戶信息泄露事件使約15億的個(gè)人賬戶暴露在大眾面前，導(dǎo)致美國(guó)電信運(yùn)營(yíng)商48億美元收購(gòu)雅虎計(jì)劃擱置。在國(guó)內(nèi)，國(guó)家免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被黑客惡意入侵，20萬(wàn)兒童的個(gè)人信息被竊取并在網(wǎng)上售賣；由于信息泄露產(chǎn)生的電信詐騙案件，間接奪去大學(xué)新生徐玉玉的生命。這一切都警示著我們，提防網(wǎng)絡(luò)詐騙，注意個(gè)人信息安全迫在眉睫。

移動(dòng)互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動(dòng)終端系統(tǒng)中安裝、運(yùn)行以達(dá)到不正當(dāng)目的，或具有違反國(guó)家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動(dòng)互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費(fèi)、信息竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。

在當(dāng)今兩大主流移動(dòng)智能設(shè)備操作系統(tǒng)中，由于安卓系統(tǒng)的開(kāi)源性，移動(dòng)互聯(lián)網(wǎng)惡意程序主要在安卓系統(tǒng)中傳播，占比達(dá)到99%，這也和安卓APP來(lái)源的多樣化和不規(guī)范性有關(guān)。

過(guò)去的一年里，發(fā)生過(guò)多次移動(dòng)互聯(lián)網(wǎng)安全事件，現(xiàn)舉例分析幾個(gè)典型事件，希望能引起大家的警示。

1 安卓短信蠕蟲(chóng)病毒事件

2016年2月，一款通過(guò)短信傳播的安卓蠕蟲(chóng)病毒大量傳播。該病毒私自讀取用戶通信錄，向聯(lián)系人發(fā)送帶有蠕蟲(chóng)病毒下載地址的惡意短信，誘騙聯(lián)系人感染。通過(guò)對(duì)病毒下載地址的域名進(jìn)行溯源，分析后發(fā)現(xiàn)該域名注冊(cè)人名下還有7個(gè)用于傳播安卓惡意程序的域名。

該蠕蟲(chóng)病毒偽裝成“檢查更新”APP，通過(guò)偽基站或者手機(jī)肉雞以短信方式進(jìn)行傳播，短信內(nèi)容為“×××，新年好。相片已經(jīng)放到這上了t.cn/RGfj6iM”。

該惡意程序具有以下惡意行為：

（1）啟動(dòng)后會(huì)隱藏自身圖標(biāo)。

（2）私自讀取用戶通信錄，向用戶聯(lián)系人群發(fā)包含蠕蟲(chóng)病毒下載地址的短信息。

用于下載蠕蟲(chóng)病毒的短鏈接“t.cn/RGfj6iM”會(huì)跳轉(zhuǎn)到域名“dlapkb.com”，該域名的注冊(cè)人為“zengheng”，注冊(cè)郵箱為“angelhuajia@qq.com”。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心對(duì)此進(jìn)行分析，發(fā)現(xiàn)該注冊(cè)人名下還有6個(gè)惡意域名用于傳播安卓惡意程序，分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

該系列惡意域名累計(jì)傳播過(guò)“學(xué)習(xí)成績(jī)單”、“違章查詢”、“天天數(shù)錢”、“人人紅包”、“檢查更新”、“System Constituent”、“AndroidSytemUpdata”、“Android Device Updata”8 款惡意程序的77個(gè)樣本，傳播量達(dá)2348次。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心分析確認(rèn)該惡意程序的影響范圍后，立即啟動(dòng)針對(duì)該惡意代碼的處置工作，協(xié)調(diào)杭州愛(ài)名網(wǎng)絡(luò)有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網(wǎng)計(jì)算機(jī)技術(shù)服務(wù)有限公司等域名注冊(cè)商對(duì)以上惡意域名進(jìn)行停止解析處理，切斷惡意程序的傳播途徑。

2 安卓視頻惡意程序事件

2016年3月，一款“視頻”惡意程序通過(guò)短信的形式在安卓系統(tǒng)手機(jī)中大量傳播。該惡意程序把自己偽裝成“視頻”APP，通過(guò)偽基站或者手機(jī)肉雞給用戶發(fā)送一則短信，短信內(nèi)容為“×××，我是×××，這是我?guī)湍闩牡男∫曨ldf.tc/3XQGdf”。

該惡意程序具有以下惡意行為：

（1）APP運(yùn)行后會(huì)隱藏安裝圖標(biāo)，同時(shí)誘騙用戶激活設(shè)備管理器，導(dǎo)致用戶無(wú)法卸載。

（2）該APP會(huì)向指定的手機(jī)號(hào)發(fā)送兩條短信，“軟件安裝完畢 識(shí)別碼：IMEI號(hào)碼、型號(hào)、手機(jī)系統(tǒng)版本”和“激活成功”。

（3）該APP會(huì)在用戶不知道的情況下將手機(jī)中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會(huì)將用戶接收到的新短信截留到指定的手機(jī)號(hào)，同時(shí)刪除本機(jī)上的短信。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心分析確認(rèn)該惡意程序的影響范圍后，立即針對(duì)該惡意代碼，協(xié)調(diào)相關(guān)注冊(cè)商，對(duì)該域名停止解析，切斷惡意程序的傳播途徑。

3 “相冊(cè)”類惡意程序

“相冊(cè)”類安卓惡意程序是指一類針對(duì)安卓系統(tǒng)的，主要通過(guò)短信進(jìn)行傳播的移動(dòng)互聯(lián)網(wǎng)惡意程序，黑客通過(guò)發(fā)送帶有惡意程序下載鏈接的短信，誘騙用戶點(diǎn)擊安裝，導(dǎo)致感染手機(jī)的個(gè)人信息泄露。

“相冊(cè)”類惡意程序主要也是通過(guò)短信進(jìn)行傳播，黑客發(fā)送的圖片帶有惡意程序下載鏈接，誘騙用戶點(diǎn)擊安裝。

該惡意程序具有以下惡意行為：

（1）APP運(yùn)行后會(huì)隱藏安裝圖標(biāo)，同時(shí)誘騙用戶激活設(shè)備管理器，導(dǎo)致用戶無(wú)法卸載。

（2）該APP會(huì)向指定的手機(jī)號(hào)發(fā)送兩條短信，“軟件安裝完畢 識(shí)別碼：IMEI號(hào)碼、型號(hào)、手機(jī)系統(tǒng)版本”和“激活成功”。

（3）該APP會(huì)在用戶不知道的情況下將手機(jī)中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會(huì)將用戶接收到的新短信截留到指定的手機(jī)號(hào)，同時(shí)刪除本機(jī)上的短信。

在整個(gè)黑色產(chǎn)業(yè)鏈中，黑客盜取個(gè)人信息出售給網(wǎng)絡(luò)詐騙，網(wǎng)絡(luò)詐騙通過(guò)閱讀分析這些信息，可以了解用戶的身份信息、家庭狀況、工作環(huán)境、個(gè)人收入以及社會(huì)關(guān)系等，然后冒充該用戶的同學(xué)、好友、同事、親屬等身份甚至國(guó)家公職人員進(jìn)行精準(zhǔn)詐騙，提高詐騙的成功率。

以上惡意程序如果鏈接敲詐勒索軟件，往往會(huì)對(duì)移動(dòng)用戶帶來(lái)經(jīng)濟(jì)損失。區(qū)別于傳統(tǒng)PC端，主要通過(guò)對(duì)用戶電腦中的文件加密，脅迫用戶購(gòu)買解密密鑰的勒索方式，在移動(dòng)設(shè)備端，則是通過(guò)遠(yuǎn)程鎖住用戶智能設(shè)備，使用戶無(wú)法正常使用，因?yàn)楝F(xiàn)在的移動(dòng)智能設(shè)備不僅僅具有通信功能，還具有社交、網(wǎng)絡(luò)支付、記錄和拍照等功能，一旦不能使用或信息丟失會(huì)給用戶帶來(lái)大量無(wú)形的損失。從敲詐勒索軟件的傳播方式來(lái)看，傳統(tǒng)PC端和移動(dòng)端表現(xiàn)出共性，傳播源主要是電子郵件、仿冒普通軟件、QQ 群、網(wǎng)盤、貼吧、或其他受害者。

截止到2016年年底，數(shù)據(jù)顯示該類惡意程序使用的程序名稱多達(dá)五百多種。其中黑客產(chǎn)業(yè)鏈從業(yè)者使用惡意程序名稱頻次最多的是“新的影集”，其次是“錄像”和相片。此外，黑客產(chǎn)業(yè)鏈從業(yè)者使用最多的10個(gè)惡意程序名稱還有影集、錄像、校訊通、照片、中國(guó)移動(dòng)、相冊(cè)、資料。

目前黑客產(chǎn)業(yè)鏈從業(yè)者都是利用偽基站或者手機(jī)肉雞等設(shè)備，向目標(biāo)人群發(fā)送帶有惡意程序下載URL鏈接，通過(guò)這種方式傳播惡意程序。為了提高鏈接的點(diǎn)擊率，黑客產(chǎn)業(yè)鏈從業(yè)者一般將鏈接進(jìn)行“短鏈接”轉(zhuǎn)化，達(dá)到與其他正常短信中“短鏈接”類似的效果，誘騙用戶點(diǎn)擊。截止到2016年年底，數(shù)據(jù)顯示發(fā)現(xiàn)“相冊(cè)”類惡意程序萬(wàn)余次，使用的“短鏈接”域名達(dá)四千個(gè)。這其中使用t.cn轉(zhuǎn)換的惡意鏈接最多，占總數(shù)的14.8%；其次是使用dwz.cn轉(zhuǎn)換的惡意鏈接，占總數(shù)的4.5%；第三是使用guo.kr轉(zhuǎn)換的惡意鏈接，占總數(shù)的2.4%。

移動(dòng)互聯(lián)網(wǎng)惡意程序連續(xù)七年來(lái)保持持續(xù)高速增長(zhǎng)趨勢(shì)，2016年，根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，按惡意行為進(jìn)行分類，前三位分別是流氓行為類、惡意扣費(fèi)類和資費(fèi)消耗類，占比分別為 61.1%、18.2%和13.6%，如下圖所示。從攻擊模式上看，通過(guò)短信傳播竊取驗(yàn)證碼的移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量占比較大，全年超過(guò)一萬(wàn)個(gè)，表現(xiàn)出制作簡(jiǎn)單，攻擊模式固定，暴利等特點(diǎn)，移動(dòng)互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟。

圖1 2016年惡意程序行為屬性統(tǒng)計(jì)圖

4 結(jié)語(yǔ)

2016年全年發(fā)現(xiàn)竊取用戶短信和通訊錄的惡意APP近兩萬(wàn)個(gè)，受感染用戶超過(guò)百萬(wàn)，嚴(yán)重危害廣大人民群眾的個(gè)人信息安全和財(cái)產(chǎn)安全。凈化互聯(lián)網(wǎng)安全環(huán)境依然任重道遠(yuǎn)，普及移動(dòng)互聯(lián)網(wǎng)安全知識(shí)，提高廣大人民群眾互聯(lián)網(wǎng)安全意識(shí)勢(shì)在必行。

參考文獻(xiàn)

[1]李海龍.移動(dòng)互聯(lián)網(wǎng)安全測(cè)評(píng)關(guān)鍵技術(shù)的分析與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2017(05).

[2]楊清,文紅,陳松林,王玉秀.基于SVM算法的移動(dòng)智能終端安全等級(jí)分級(jí)模型[J].通信技術(shù),2017(04).

[3]劉念林,李汶隆.智能終端云服務(wù)平臺(tái)安全框架研究[J].網(wǎng)絡(luò)空間安全,2016(07).

[4]范紅,杜大海,王冠.移動(dòng)互聯(lián)網(wǎng)安全測(cè)評(píng)關(guān)鍵技術(shù)研究[J].中興通訊技術(shù),2015(03).

[5]李汶隆,邱吉?jiǎng)?劉念林,彭偉倫.移動(dòng)終端安全管理及其關(guān)鍵技術(shù)[J].信息安全與技術(shù), 2015(02).

[6]張潔雪.中國(guó)移動(dòng)終端軟件質(zhì)量現(xiàn)狀淺析[J].軟件,2014(08).

[7]涂靜,田增山,周非.移動(dòng)互聯(lián)網(wǎng)安全終端的設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用,2013(10).